Alt hvad du behøver at vide om DNS Spoofing for at holde din organisation sikker
Hvad er DNS Spoofing og hvordan kan du forebygge det?
This post is also available in:
English
DNS i sig selv har aldrig været sikker. At være skabt i 1980’erne, hvor Internettet var en komplet nyhed, gjordet at sikkerhed ikke var en prioritet i dens design. I løbet af tid har det ført til, at ondsindede aktører drager fordel af dette, og udvikler detaljerede angrebsteknikker, der udnytter DNS, såsom DNS Spoofing.
Hvad er DNS spoofing?
DNS Spoofing er et cyberangreb, hvor falske data introduceres i DNS-Resolver´s cache, hvilket får navneserveren til at returnere en forkert IP-adresse. Med andre ord, disse typer angreb udnytter sårbarheder i domænenavnservere og omdirigerer trafik til uægte websteder.
Men før vi dykker ned i mere info om DNS-forfalskning, lad os se på, hvordan DNS fungerer, og prøve at forstå mere om DNS-sikkerhed.
Forstå DNS
DNS står for Domain Name System. Kort sagt er det en database, der indeholder oplysninger om domænenavne. DNS er bygget på en hierarkistruktur med et enkelt domæne øverst kaldet The root Domain og med top-level domæner under det, der deler DNS i forskellige segmenter.
Figurativt beskrives DNS almindeligvis som telefonbogen på Internettet, da det oversætter domænenavne til IP-adresser.
En anden metafor, der bruges til DNS, er ofte et træ:
DNS har en rod, og de forskellige top-Level domains (TLD’er) ligner grene, der skyder roden af. Hver gren har små grene, som er Second Level Domains, og bladene er fully qualified domain Names (FQDN’er), nogle gange benævnt værtsnavne (Hostnames). Få ikke ideen om, at dette træ er et fredeligt palmetræ eller en stærk eg. Dette er en monstrositet af et træ, plantet i cement med rødder, der samler hinanden og grene spredt i alle retninger, som ofte føles som om det holdes sammen med viljestyrke mere end noget andet. Hvis DNS er et træ, er det mere som Banyan-træet i Lahaina, Maui.
– Et uddrag fra “DNS Security: Defending the Domain Name System” af Allan Liska & Geoffrey Stowe
Før jeg går mere i detaljer, vil jeg forsøge at opsummere, hvordan DNS Resolution Process fungerer.
Lad os sige, at en bruger indtaster en webadresse i browseren.
Først scanner operativsystemet sin cache efter IP. Hvis den ikke kan finde det, beder den DNS Resolver (som kan være rekursiv, ikke-rekursiv og iterativ – men lad os gemme dette emne til et senere tidspunkt) om at give et svar.
HVAD ER DNS-RESOLVERE?
Når en bruger forsøger at få adgang til et websted, sendes en anmodning til en DNS-resolver af operativsystemet.
DNS-Resolver svarer med IP-adressen, der er hentet fra webserveren, og dermed indlæses webstedet. I det væsentlige finder DNS resolvers IP-adresser, der er tilknyttet domænenavne. Kort sagt, de oversætter webstedsadresser som “heimdalsecurity.com”, som let kan læses af folk til numeriske IP-adresser, der ville være næsten umulige for os at lære udenad.
Hvis DNS-resolver ikke har IP’en gemt i sin cache, vil den spørge root serveren.
I dag er der kun 13 root name servers i verden, der drives af 12 forskellige organisationer, som har brugt root servers, siden DNS blev skabt.
Dette betyder dog ikke, at der kun er 13 fysiske placeringer, der opretholder internettet. Der er faktisk over 750 root server forekomster over hele verden, fordelt på hvert kontinent. Man kan få adgang til dem ved hjælp af 13 IP-adresser, en tildelt til hver enhed (med undtagelse af Verisign, der kører to rodservere). Størstedelen af disse adresser er tildelt forskellige servere overalt i verden, så DNS-forespørgsler, der sendes til disse adresser, får et rettidigt svar fra de lokale servere.
Rotserveren vil selv vide hvor den skal anbringe TLD (Top-Level Domain Server).
Koordinering af TLD’er er en funktion af Internet Corporation for tildelte navne og numre (ICANN). For eksempel var .COM TLD en af de første, der blev oprettet i 1985 og har forblevet den største TLD til dato.
Andre typer TLD’er kan omfatte landekoder (.DK, .JP, .CA osv.), generiske TLD’er (såsom .EDU, .NET, ORG.), Infrastruktur-TLD’er (.ARPA – mest brugt til styring af tekniske netværksinfrastruktur) plus mange andre nye typer TLD’er (som .SHOP, .TATTOO, .HEALTH osv.).
Ifølge listen vedligeholdt af IANA (Internet Assigned Numbers Authority), som er en del af ICANN, er der i øjeblikket over 1.500 eksisterende TLD’er.
Så hvordan hjælper TLD-serveren resolveren?
Hvis TLD ikke kender domænets IP-adresse, vil det takket være Domæneregistratoren, lykkes det at finde de autoritative DNS-servere (eller Navneserver) til domænet. Hver gang nogen køber et domæne, gemmer domæneregistratoren navnet og sender de autoritative navneservere til TLD-registreringsdatabasen.
Autoritative DNS-servere giver svar på rekursive DNS-forespørgsler. Normalt er mere end en navneserver knyttet til et domæne, så arbejdsbyrden styres jævnt, især i tilfælde af en fejl.
Autoritative DNS-servere tildeles til forskellige områder. Uanset hvilket område de dækker, vil de altid gemme en database med domænenavne og deres tilsvarende IP-adresser, samt løse anmodninger modtaget fra rekursive DNS-servere, der prøver at finde ud af hvilken IP-adresse der svarer til hvilket domænenavn.
Hvis du gerne vil finde ud af, hvad de autoritative navneservere til dit domæne er, kan du bruge et af de websteder, der leverer denne funktionalitet. For eksempel kan du tjekke, who.is.
Endelig vil navneserveren give resolveren IP-adressen.
Den rekursive DNS-server sender disse oplysninger tilbage til maskinen (og browseren), der anmodede om den, efter at have modtaget svaret. Maskinen opretter forbindelse til IP-adressen og indlæser websiden.
Heimdal® Threat Prevention - Network
- No need to deploy it on your endpoints;
- Protects any entry point into the organization, including BYODs;
- Stops even hidden threats using AI and your network traffic log;
- Complete DNS, HTTP and HTTPs protection, HIPS and HIDS;
DNS-sårbarheder og angreb
Selvom DNS er designet som et meget komplekst og kraftfuldt system, har dets hovedformål altid været funktionalitet snarere end sikkerhed.
Men den konstante udvikling af cybertrusler, der eksplicit udnytter DNS-sårbarheder, viser ingen tegn på opbremsning. Derudover varierer de aktuelle typer af DNS-angreb meget og er afhængige af misbrug af informationsudveksling mellem klienter og servere.
Almindelige typer af DNS-angrebsvektorer inkluderer:
- DNS-tunneling – Et angreb, der bruger en klient-server arkitektur til at udnytte DNS-protokollen til tunnel malware og andet indhold. Tunnelen kan også bruges til data udfiltrering eller til andre ondsindede formål.
- Zero-day angreb – Et zero-days angreb kan lanceres på grund af en DNS-fejl, eller en sårbarhed der er ukendt for DNS-udbyderen, før ondsindede hackere drager fordel af svagheden og udnytter den.
- Denial of Service (DoS) og Distributed denial of Service (DDoS) – I et DoS-angreb sender en ondsindet bot en meget stor mængde trafik til en IP-adresse, indtil målet ikke længere er i stand til at løse legitime anmodninger. I et DDoS-angreb bruger cyberkriminelle et botnet til at producere en enorm mængde opløsningsanmodninger.
- Fast-flux DNS – For at omdirigere DNS-anmodninger og undgå detektering, skifter angriberen DNS-poster ind og ud med ekstrem frekvens.
- DNS Spoofing (ofte også kaldet DNS-poisoning) – Et angreb, hvor ondsindede aktører udnytter systemfejl og skubber trafik væk fra ægte domæner og mod falske domæner.
DNS Spoofing Detektion
Når en rekursiv resolver sender en anmodning til en autoritativ navneserver, har resolveren ingen midler til at kontrollere svarets gyldighed. Det bedste, som resolveren kan gøre, er at kontrollere, om svaret ser ud til at komme fra den samme IP-adresse, hvor resolveren sendte forespørgslen i første omgang.
Men at stole på kildens IP-adresse til et svar er aldrig en god ide, da kildens IP-adresse til en DNS-responspakke let kan forfalskes.
Sikkerhedsmæssigt kan en resolver på grund af det defekte design af DNS ikke identificere en falsk reaktion på en af dens forespørgsler. Dette betyder, at cyberkriminelle let kan udgøre den autoritative server, der oprindeligt blev forespurgt af resolveren, og forfalske et svar, der ser ud til at komme fra den autoritative server.
Grundlæggende kan en angriber omdirigere en bruger til et ondsindet websted uden at brugeren bemærker det.
Kort fortalt henviser DNS Spoofing til alle angreb, der forsøger at ændre DNS-arkiverne, der returneres til brugeren og omdirigere ham/hende til et ondsindet websted.
DNS-forfalskningsangreb kan omfatte DNS hijacking, Man-in-the-middle angreb og cache-ødelæggelse.
DNS cache ødelæggelse er afhængig af praksis med at ændre dataene i DNS-cachen med et falsk DNS-svar. Disse angreb kan ikke opdages af traditionelle cybersecurity-værktøjer, som ikke ser på DNS.
Heimdal® Threat Prevention - Endpoint
- Machine learning powered scans for all incoming online traffic;
- Stops data breaches before sensitive info can be exposed to the outside;
- Advanced DNS, HTTP and HTTPS filtering for all your endpoints;
- Protection against data leakage, APTs, ransomware and exploits;
Selvom det teknisk ikke er DNS-spoofing-teknikker, vil de taktikker som jeg kort vil diskutere nedenfor, nogengange narre folk til at få adgang til uægte domæner og stole mest på brugernes uagtsomhed. Med et skarpt øje kan disse angreb let forhindres, så sørg for også at holde øje med dem.
Homograph angreb
Et homograph angreb (også kendt som homoglyph angreb, script-spoofing eller homograph domain name spoofing) er et cyberangreb, hvor en ondsindet part udnytter Character script ligheder til at oprette og registrere falske domæner, der er næsten identiske med de ægte, så brugerne ikke bemærker, at de besøger et andet websted.
For eksempel er det berygtede PayPal-svindelnummer, der første gang blev opdaget for næsten 20 år siden, et meget godt eksempel på et homograph angreb. Webstedet var vildledende navngivet PayPai.com og var et overbevisende duplikat af den rigtige. Den brugte en kombination af store og små bogstaver – i dette tilfælde lignede store bogstaver “i” små bogstaver “l”.
Typosquatting
Typosquatting (også kendt som URL-hijacking eller brandjacking) er en angrebsteknik, der faciliteters af visse typos lavet af brugere. Når brugere f.eks. Indtaster et domænenavn, fejl staver det og ikke opdager fejlen, kan de utilsigtet ende på et forkert websted, der er registreret af Typosquatters.
Både Typosquatting og homograph angreb er baseret på teknikker, der bruger lignende webstedsnavne til at narre brugerne til at besøge dem. Den vigtigste forskel er imidlertid, at ved Typosquatting narrer angribere ofre ved at regne med normale typografiske fejl, der typisk foretages, når de skriver en URL, mens gerningsmanden i Homograph Spoofing bedrager ofre ved at registrere et ondsindet websted, der kan se identisk ud med det originale.
Konklusion
For at forblive beskyttet mod DNS-trusler foreslår vi, at du overvåger alle ændringer, der er relateret til dine DNS-arkiver og digitale certifikater. Derudover kan du også vælge at installere DNSSEC (Domain Name System Security Extensions), som vil forbedre DNS-godkendelsesprocessen gennem digitale signaturer ved hjælp af offentlig nøglekryptografi. Sidst, men ikke mindst, skal du bruge en DNS-filtreringsløsning som Thor Foresight Enterprise, der opsporer, forhindrer, opdager og blokerer trusler på trafikniveauet.
Som jeg allerede har antydet, tilbyder traditionelt forsvar ikke beskyttelse mod DNS-angreb. Men takket være det Machine Learning-drevne DNS-filtreringssystem bringer HeimdalTM Security dig fuld DNS-beskyttelse og malware-blokering. Kontakt os i dag på sales.inquiries@heimdalsecurity.com , hvis du vil vide mere.